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Technische Security Audits 
nach OSSTMM 


Christoph Baumgartner, Pete Herzog und Martin Rutishauser 


Schwierigkeitsgrad 


Das Open Source Security Testing Methodology Manual (OSSTMM) 
von ISECOM (Institute for Security and Open Methodologies) 
beschreibt eine Methode, wie technische Security Audits geplant, 
durchgefuhrt und dokumentiert werden. In diesem Artikel wird 
anhand eines konkreten Beispiels erklart, wie ein OSSTMM -konformer 
Security Audit exklusive Dokumentation durchgefuhrt wird. 


D as im Beispiel genannte Untersuchungs- 
objekt ist der extern gehostete Webser- 
verderOneConsuItGmbH, weil derartige 
Tests nicht ohne vorherige Genehmigung des 
Systemeigners und des Systembetreibers durch- 
gefuhrt werden durfen. Die Tests erfolgen aus 
externer Sicht (= vom Internet her gesehen). 

Historie und 

Kurzvorstellung OSSTMM 

Das Open Source Security Testing Metho- 
dology Manual (OSSTMM) beschreibt eine 
Methode zur Planung, Durchfuhrung und 
Dokumentation von technischen Sicherheits- 
uberprufungen. Die Erstausgabe erfolgte 
2000 durch Pete Herzog. Seit 2001 wird das 
OSSTMM unter der Leitung von Pete Herzog 
von ISECOM (Institute for Security and Open 
Methodologies) kontinuierlich weiterentwickelt 
und erfreut sich einer wachsenden Verbreitung 
und Beliebtheit - dies nicht zuletzt aufgrund der 
Konformitat zu diversen Normen, Regulatorien 
und Frameworks, wie beispielsweise ISO/IEC 
17799, BASEL II, SOX, IT GSHB und ITIL. 

Die Worte Open Source im OSSTMM ste- 
hen d af u r, dass die Methode ohne Lizenzge- 
buhren frei verfugbar und nutzbar ist. 


Die zum Zeitpunkt der Artikeleinreichung 

aktuelle Version 2.2 des OSSTMM umfasst 129 

A4-Seiten und besteht aus drei Elementen: 

• Methodik; 

• RAV-Kalkulation; 

• OSSTMM-Templates; 

f 

In diesem Artikel erfahren Sie... 

• Was das Open Source Security Testing Metho- 
dology Manual ist; 

• Was Sinn und Nutzen eines Audits nach 
OSSTMM sind; 

• Wie ein OSSTMM-konformer technischer Se- 
curity Audit durchgefuhrt wird. 

Was Sie vorher wissen/konnen 
sollten... 

• Dass Sicherheitsuberprufungen in den meisten 
Landern ohne das vorherige Einverstandnis von 
Systemeigner und Systembetreiber strafbar 
sind; 

• Wie man die erwahnten Security Tools unter 
Linux installiert und konfiguriert. 

V 
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Die korrekt ausgefullten OSSTMM- 
Templates bilden zusammen mit 
dem Action Log des Testers und dem 
Netzwerk-Traffic-Dump die Minima- 
lanforderungen an eine OSSTMM- 
konforme Dokumentation. 

Praambel 

Aus Platzgrunden wird der Umfang 
der einzelnen Module nicht vollstandig 
wiedergegeben und es werden nicht 
alle Tasks vollstandig abgearbeitet. 
Das OSSTMM definiert nicht, mit wel- 
chen Tools getestet werden soil, fordert 
aber, dass die Resultate immer mit 
einem zweiten Tool mit gleicher Funk- 
tionalitat verifiziert werden. Teilweise 
wird in den Beispielen auf den Einsatz 
zweier Tools mit gleicher Funktionalitat 
verzichtet, aber es werden oftmals ge- 
eignete Tools namentlich genannt. 


Falls moglich, sollten immer die 
IP-Adressen statt der Systemnamen 
der zu testenden Systeme verwen- 
det werden, urn mogliche Probleme 
im Zusammenhang mit forwarded 
Ports, Virtual Hosting und vom DNS 
zufallig zugeteilten IP-Adressen zu 
vermeiden. Andernfalls wird die Da- 
tenanalyse erschwert. Aus Grunden 
der leichteren Verstandlichkeit wurde 
in diesem Artikel oneconsult.com in 
das /etc/hosts-File fur die Adressauf- 
losung aufgenommen. 

Vom Einsatz von All-in-One 
Security Scannern (oft kommerzi- 
ell) rat das OSSTMM aufgrund der 
nicht moglichen Verifizierbarkeit 
des Scanner-Quellcodes und der 
erschwerten Nachvollziehbarkeit der 
Tests und der Resultate ab. Dies gilt 
aber generell fur alle technischen 


Security Audits der Qualitatsstufe 
Penetration Test. Die in diesem 
Artikel genannten Tools sind Open 
Source Tools - aber es kann selbst- 
verstandlich auch mit kommerzieller 
Software gearbeitet werden. 

Das OSSTMM in seiner aktuells- 
ten Version (zum Zeitpunkt der Arti- 
keleinreichung V. 2.2.) ist derzeit nur 
in Englisch verfugbar. Die Version 
2.1. ist auch in Spanisch erhaltlich. 
Das OSSTMM kann kostenlos auf 
der Website http://www.osstmm.org/ 
heruntergeladen werden. 

OSSTMM-konformer 
Test in Stichworten 

Es mussen mindestens folgende 
Schritte fur den Remote-Test eines 
mit dem Internet verbundenen Sys- 
tems durchlaufen werden: 

• Vorbereitungen treffen: 

• Tester Tools updaten (z. B. 
Plugins bei Vulnerability Scan- 
nern Oder neue Releases 
installieren); 

• Action Log einrichten/fuhren; 

• Netzwerksniffer: Netzwerk- 

traffic mitschneiden und 
Netzwerksniffer zur laufenden 
visuellen Kontrolle wahrend 
Tests starten; 

• IP-Adressen bzw. -Ranges prufen: 

• Gehoren die IP-Ranges wirk- 
lich dem Auftraggeber?; 

• Sind sie erreichbar Oder was 
ist im Subnet erreichbar?; 

• Welche Komponententypen 
belegen welche IPs (Server, 
Netzwerkkomponente, Cli- 
ents Oder Peripheriegerat)?; 

• Gibt es etwas zu beachten 
(z.B. instabile Systeme)?; 

• Port und Service Scan durchfuhren: 

• Port Scan; 

• OS Detection; 

• Service Detection; 

• Informationsabflusse; 

• Vulnerability Scan ausfuhren (zur 

Tool-gestutzten Identifikation von 

Sicherheitslucken): 

• generelle Vulnerability Scan- 
ner; 

• spezifische Vulnerability Scan- 
ner fur Web Services Oder 
Datenbanken; 
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Section C - Internet Technology Security 



4 ? 


Abbildung 2 Ablaufschema von Section C des OSSTMM 



metnum 213 200 244 136 - 21 
netnamo OHECOMSULT-CH 
descr OneCormilt GmbH 
country CH 
admin-c CB3103-RIPE 
tsch-c CHCN1-RIPE 
status ASSIGNED PA 
mnt-by SUNWEB-MNT 
mnt-lowar SUNWEB-MMT 


Google 


Web Bildor Groups News 


In alien Gruppen gesucht 


Ergebnisse 1 - 3 von 3 fOr oneconsult (0.17 Sekunden) 
Hach Relevanz sortlen Nach Datum sortiert 


Mermen Sre ono consult 


IS! Groups Alerts 
sue Grupoe 
er Gooole Groups 


nt meinem eioenen Namen beqmr 


Grusse aus d*r Schweiz Christoph Baumgartner ♦- 
F.n. neue Grunoe ersleller, 0n » Con * ul( • T R'*k Management & IT Strategy ... 

tme neue oruppe ersienen 7 Apr 2003 09 29 von Chnsloph - 2 Nachhchlen 2 Autoren 


God doesn't need you 

... instructed him as his eour 
him and who taught him the nght way’ Whi 
ah.relkiioncleiav - 1 7 Feb 2001 07 28 vo 


1 the ETERNAL ONEeonsult to enlighten 
was it that ... 

seed ol god - 1 Nachncht - 1 Autor 


About RIPE NCC | Site Mao I UR Portt 


How to oet a deep crawl on mv site 

Hi Kewn I made the same experience Alter sending an e-mall to the Google Support 
team I got the following answer Hi Christoph. Thank you for your email ... 

googlepubliceupport. general - 28 Mrz 2003 18 68 von Christoph - 3 Naehnchten - 3 Autoren 

en warden ihnen die neueslen Nachhchlen zu oneconsult rmt Google Alerts per E-Mail 


[oneconsult Suche | 

Google Start seite Alloemeine Nutzungsbedinqungen • Datenschutzbeslimmunqen 


Abbildung 3 Abfrage der tP-Ranges via http://www.ripe.net/und der 
Ne wsgroup -Be it rage 


• Sicherheitsliicken verifizieren: 

• Verifi kation der identifizierten 
Sicherheitsliicken beispiels- 
weise mittels Exploiting; 

• Resultate: 

• Analysieren (auch auf Plau- 
sibilitat, Datenintegritat und 
Vollstandigkeit); 

• RAV-Berechnung durchfiihren; 

• Dokumentieren (Schluss- 
bericht inklusive: RAV und 
ausgefiillten OSSTMM-Tem- 
plates, Action Log, Dump des 
Netzwerktraffics und Rohda- 
ten auf Datentrager); 

• mit den Verantwortlichen be- 
sprechen. 

Aufbau des OSSTMM 

Das OSSTMM ist in verschiedene 
Sections gegliedert, welche die ver- 
schiedenen Bereiche der Security 
Map abdecken. 

Die Sections wiederum sind in 
Moduls gegliedert, welche aus ein- 
zelnen Tasks bestehen, die durch- 
laufen werden miissen. Fur diesen 
Artikel relevant ist Section C, welche 
sich mit Tests von via Netzwerk er- 
reichbaren Systemen befasst. 

Aufgrund der Funktionalitat kon- 
nen bestimmte Tools teilweise in 
verschiedenen OSSTMM-Modulen 
eingesetzt werden. 

Es folgt eine Kurzvorstellung der 
Module von Section C, wobei die 
Module die gleiche Nummerierung 
aufweisen wie im OSSTMM. 

Network Surveying 
(Modul 1) 

Im Modul Network Surveying wer- 
den Informationen gesammelt, 
ohne das eigentliche Untersu- 
chungsobjekt mittels intrusiven 
Tests zu attackieren. Es dient da- 
zu, sich einen Uberblick iiber 
das Untersuchungsobjekt zu ver- 
schaffen. Hierzu wird gepriift, ob 
die vom Auftraggeber genannten 
Domains, IP-Adressen Oder IP- 
Ranges tatsachlich ihm gehoren 
- andernfalls konnte der Tester sich 
in den folgenden Modulen strafbar 
machen. Ausserdem wird in den 
DNS-Eintragen nach Servern und 
in Newsgroups nach Eintragen 
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gesucht, welche die Domain(s) des 
Untersuchungsobjekts beinhalten. 
Fur diese Zwecke eignen sich bei- 
spielsweise die Tools dig, whois, 
host und Abfragen via Browser. 

Des weiteren kann der Quelltext 
von Websites auf interne Links zu 
Applikationen und andere Systeme 
durchsucht und Mailheader beziig- 
lich Angaben iiber involvierte Syste- 
me analysiert werden. 

AufJerdem gilt es sicherzustel- 
len, dass die Testing-Tools sowie 
die Netzwerkeinstellungen korrekt 
konfiguriert sind. Dies wird erreicht, 
indem die tatsachlich zur Verfugung 
stehende Bandbreite gepriift, die 


Route zu den Zielsystemen und 
allfallige Paketverluste eruiert wer- 
den. Diese Tests miissen fur alle 
zu testenden Systeme ausgefuhrt 
werden, weil andernfalls wahrend 
der eigentlichen Tests False Positi- 
ves Oder False Negatives auftreten 
konnen. 

Aus Platzgrunden wird hier auf 
die Auflistung samtlicher Teilschritte 
verzichtet, aber anhand des Tools 
traceroute aufgezeigt, uber welche 
Pfade das Zielsystem erreicht wer- 
den kann. Falls bei einem Oder nach 
einem Hop keine Antworten mehr 
zuruckkommen, deutet dies auf eine 
filternde Komponente (z.B. Firewall) 


hin. Je mehr Hops zwischen dem 
System des Testers und dem zu tes- 
tenden System liegen, desto langer 
dauert der Test. 

Port Scanning (Modul 2) 

Dies ist das erste Modul, welches 
intrusive Tests beinhaltet. Mittels 
verschiedenartiger Port Scans 
(SYN-, ACK- , Bounce-Scans, etc.) 
wird ermittelt, welche Systeme 
erreichbar sind, welche Protokolle 
unterstutzt werden, wie der Status 
der 65'536 (inklusive Port 0) TCP 
und UDP Ports ist und welche 
Dienste (inklusive Versionen) an- 
geboten werden. Es ist allerdings 
nicht immer notig, den gesamten 
Port Range zu testen. AufJerdem 
wird eine Firewall (falls vorhanden) 
aktiv getestet urn allfallige weitere 
Systeme zu finden. Tabelle 1 hilft 
bei der Eruierung der Portstati. 

Services Identification 
(Modul 3) 

In diesem Modul wird nach Appli- 
kationen gesucht, welche hinter 
den Diensten lauschen. Es kommt 
oft vor, dass mehr als eine Applika- 
tion hinter einem Dienst existiert, 
wobei eine Applikation als Listener 
(Lauscher) agiert und die anderen 
als deren Komponenten agieren. 
Ein Beispiel dafur ist PERL, wel- 
ches als Best andteil einer Web- 
Applikation installiert wurde. In 
diesem Fall ist der http-Deamon 
der Listener und eine seiner Kom- 
ponenten PERL. 

Fingerprinting-Tools liefern ge- 
nerell unzuverlassige Resultate. Aus 
diesem Grund ist die Verifikation von 
deren Ergebnissen unumganglich. 
System- und Diensttypen konnen 
beispielsweise mittels Untersuchung 
von Headern, 404- und Error-Pages, 
html-Seiten, initial TTLs, installierten 
Komponenten und Verwundbar- 
keiten (welche ausgenutzt werden 
konnten), verifiziert werden. 

Aufgrund von forwarded Ports 
kann die gleichzeitige Service- und 
System Identification irrefuhrende 
Ergebnisse liefern. 

Beispiele zur Services Identifica- 
tion finden sich in den Listings 8 ff. 


Listing 1 Abfrage von DNS-informationen mit dig 


# dig oneconsult.com any 

«» DiG 9.3.2 «» oneconsult.com any 
global options : printcmd 

Got answer: 

-»HEADER«- opcode: QUERY, status: NOERROR, id: 17471 

flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 

QUESTION SECTION: 

; oneconsult .com. IN ANY 

ANSWER SECTION: 


oneconsult . com . 

64200 

IN 

NS 

ns2 .nameserver . ch 

oneconsult . com . 

64200 

IN 

NS 

nsl .nameserver . ch 

;; AUTHORITY SECTION: 




oneconsult . com. 

64200 

IN 

NS 

ns2 .nameserver . ch 

oneconsult . com. 

64200 

IN 

NS 

nsl .nameserver . ch 

;; ADDITIONAL SECTION: 




nsl .nameserver . ch . 

1034 

IN 

A 

217.71.80.188 

ns2 .nameserver . ch . 

909 

IN 

A 

217.71.81.4 

;; Query time: 13 

msec 




;; SERVER: 192.168 

.60.1 #53(192 

168 

60.1) 

; ; WHEN : Mon Dec 

4 14:07 

42 2006 



MSG SIZE rcvd: 141 
# dig oneconsult.com mx 

«» DiG 9.3.2 «» oneconsult.com mx 
global options : printcmd 

Got answer: 

-»HEADER«- opcode: QUERY, status: NOERROR, id: 48932 

flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4 

QUESTION SECTION: 

; oneconsult .com. IN MX 
ANSWER SECTION: 

oneconsult.com. 3600 IN MX 

;; AUTHORITY SECTION: 
oneconsult.com. 12880 IN NS 

oneconsult.com. 12880 IN NS 

;; ADDITIONAL SECTION: 
mail.oneconsult.com. 3600 IN 

mail.oneconsult.com. 3600 IN 

nsl .nameserver . ch. 219 IN A 
ns2 .nameserver . ch. 1560 IN A 
;; Query time: 49 msec 
;; SERVER: 192.168.50.6 #53(192.168.50.6) 

;; WHEN: Mon Dec 14 14:08:09 2006 
;; MSG SIZE rcvd: 166 


10 mail.oneconsult.com. 

nsl .nameserver . ch . 
ns2 .nameserver . ch . 

A 195.129.94.130 
A 195.129.94.194 
217.71.80.188 
217.71.81.4 
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I 2 , Abfrage von Domain-spezifischen Informationen mit whois 

# whois oneconsult.com 
Whois Server Version 2.0 

Domain names in the .com and .net domains can now be registered 
with many different competing registrars. Go to http://www.internic.net for 
detailed information. 

Domain Name: ONECONSULT.COM 

Registrar: KEY-SYSTEMS GMBH 

Whois Server: whois.rrpproxy.net 

Referral URL: http://www.key-systems.net 

Name Server: C0M1 . NAMESERVER . CH 

Name Server: COM2 .NAMESERVER. CH 

Status: REGISTRAR-LOCK 

EPP Status: clientTransferProhibited 

Updated Date: 31-0ct-2006 

Creation Date: 22-Sep-2002 

Expiration Date: 22-Sep-2007 

»> Last update of whois database: Mon, 14 Dec 2006 08:08:21 EST «< 

[...] 

DOMAIN: ONECONSULT.COM 
RSP: domaindiscount24.com 
URL: http://www.dd24.net 
created-date: 2002-09-23 
updated-date: 2006-11-01 
registration-expiration-date: 2007-09-23 
owner-contact: P-CIB44 
owner-organization: OneConsult GmbH 
owner-fname: Christoph 
owner-lname: Baumgartner 
owner-street: Zuercherstrasse 73 
owner-city: Thalwil 
owner-zip: 8800 
owner-country: CH 
owner-phone: +41 (0)43 443 52 52 
owner-fax: +41 (0)43 443 52 62 
owner-email: info@oneconsult.com 
[...] 

nameserver: coml . nameserver .ch 
nameserver: com2. nameserver .ch 

Listin Traceroute UDP 

# traceroute www.oneconsult.com 

traceroute: Warning: www.oneconsult.com has multiple addresses; using 
195.129.94.193 

traceroute to 195.129.94.193 (195.129.94.193), 30 hops max, 38 byte packets 

1 192.168.60.1 (192.168.60.1) 0.392 ms 0.286 ms 0.180 ms 

2 zrhth-pe2 . cybernet-ag . ch (212.90.192.151) 8.921 ms 9.011 ms 9.110 ms 

[...] 

7 212.71.100.18 (212.71.100.18) 14.054 ms 12.435 ms 12.319 ms 

8 * 212.71.100.18 (212.71.100.18) 13.896 ms !X * 

Listir Traceroute ICMP 

# traceroute -I www.oneconsult.com 

traceroute: Warning: www.oneconsult.com has multiple addresses; using 
195.129.94.193 

traceroute to 195.129.94.193 (195.129.94.193), 30 hops max, 38 byte packets 

1 192.168.60.1 (192.168.60.1) 0.256 ms 0.187 ms 0.176 ms 

2 zrhth-pe2 . cybernet-ag. ch (212.90.192.151) 9.475 ms 8.272 ms 8.868 ms 

[...] 

7 212.71.100.18 (212.71.100.18) 13.294 ms 12.724 ms 13.286 ms 

8 212.71.100.18 (212.71.100.18) 13.890 ms !X 

v J 


System Identification 
(Modul 4) 

In diesem Modul wird mittels OS- 
Fingerprinting das Betriebssystem 
inklusive Version ermittelt. 

Weitere Tools: 

• scanudp-, 

• dcetest, 

• rpcinfo ; 

• nbtscam, 

• smbclient, 

• snmpwalk ; 

• showmount, 

• sing\ 

• ike-scan. 

Vulnerability Research 
and Verification (Modul 5) 

In diesem Modul werden Schwach- 
stellen, Konfigurationsfehler und 
Verwundbarkeiten eines Hosts Oder 
Netzwerkes identifiziert und verifi- 
ziert. In den vorhergehenden Modu- 
len wurden mittels technischer und 
konzeptioneller Mittel Informationen 
uber das Untersuchungsobjekt ge- 
sammelt. Jetzt gilt es, die erlangten 
Informationen entweder manuell Oder 
(teil-)automatisiert (mittels Tools) mit 
bekannten Sicherheitsliicken und 
Schwachstellen zu vergleichen, wel- 
che fur die detektierten Dienste des 
Untersuchungsobjekts bekannt sind. 

Identifikation von 
Sicherheitsliicken 

Furdie Identifikation von Sicherheitslu- 
cken werden Online-Datenbanken wie 
beispielsweise http://cve. mitre, org/ 

eve/, http://secunia.com/ Oder http:// 
osvdb.org/ und spezifische Mailing- 
lists wie Full Disclosure Oder Bugtraq 
konsultiert. 

Unterstutzung 
mittels Tools 

Vulnerability Scanner vereinfachen 
diese Aufgabe und ermoglichen 
signifikante Zeiteinsparungen im 
Vergleich zur rein manuellen Vor- 
gehensweise. Die notige Voraus- 
setzung ist aber der Zugriff auf 
Datenbanken mit moglichst tages- 
aktuellen Listen von bekannten Si- 
cherheitsliicken und Schwachstellen. 
Der Security Scanner nessus ist eine 
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gute Hilfe, allerdings verwendet die 
kostenlose Version nur Plugins (= 
Testscripts ), welche alter als eine Wo- 
che sind. Alternativ kann die kommer- 
zielle Variante von nessus verwendet 
werden, welche den Zugriff auf die 
aktuellsten Plugins ermoglicht. 

nikto ist speziell fur die Analyse 
von Webservices bestimmt. Auch 
nikto arbeitet mit einer Datenbank 
von bekannten Sicherheitslucken 
und vergleicht diese mit der ange- 
troffenen Webserver-Konfiguration. 

Verifizierung 

Identifizierte Sicherheitslucken und 
Schwachstellen mussen verifiziert 
werden urn False Positives aus- 
schliessen zu konnen. Dies kann 
mit einzelnen Exploits Oder einem 
Framework, wie beispielsweise me- 
tasploit, erfolgen. Dieses Framework 
enthalt diverse konfigurierbare Ex- 
ploits fur bekannte Sicherheitslucken 
- was den Verifikationsprozess (teil-) 
automatisiert. 

Ansonsten werden in dieser Pha- 
se offentlich verfugbare Exploit-Co- 
des verwendet und die Verifikation 
manuell durchgefuhrt. 

Internet Application 
Testing (Modul 6) 

Bei der Suche nach Sicherheitslo- 
chern in Internet-Applikationen sind 
verschiedenartige Techniken erfor- 
derlich, welche unterschiedliche As- 
pekte berucksichtigen. Brute Forcing 
von Passwortern, API-Monitoring, 
Networksniffing, Decompilation, Re- 
verse Engineering and Client Bypas- 
sing sind nureinige Beispiele. 

Obwohl kein derzeit verfugbares 
Tool einen manuellen Audit erset- 
zen kann, bei welchem die gesamte 
Website auf die lokale Festplatte 
des Testers geladen wird, urn sie 
anschliessend akribisch zu unter- 
suchen konnen dennoch Tools die 
Arbeit des Testers unterstutzen. 

Web-Applikationen lassen sich 
beispielsweise mit dem lokal zu in- 
stallierenden Tool paros proxy auf 
Sicherheitslucken hin uberprufen. Es 
handelt sich dabei urn einen Man- 
in-the-Middle-Proxy, womit Anfragen 
und Antworten zwischen Webserver 


ISECOM 

OSSTMM 2.2. 

Open-Source Security Testing Methodology Manual 


CURRENT VERSION: 

OSSTMM 2 2 

NOTES: 

With this version the OSSTMM includes more of the 3.0 
methodology. 

FIXES: 

This version includes updotedrules of engagement and rules 
for OSSTMM certified audits. Additional fixes include RAVs 
and Error Types. 

DATE OF CURRENT VERSION: 

Tuesday. December '3, 2006 

DATE OF ORIGINAL VERSION: 

Monday. December 18. 2000 




Abbildung 4 Open-Source Security Testing Methodology Manual 

( T 

Listin Traceroute TCP mit tcptraceroute 

# tcptraceroute www.oneconsult.com 

Selected device ethO, address 192.168.60.117, port 45919 for outgoing packets 
Tracing the path to www.oneconsult.com (195.129.94.193) on TCP port 80 
(http) , 30 hops max 

1 192.168.60.1 0.307 ms 0.182 ms 0.175 ms 

2 zrhth-pe2 . cybernet-ag . ch (212.90.192.151) 9.130 ms 8.955 ms 9.487 ms 

[...] 

7 212.71.100.18 12.901 ms 14.469 ms 13.008 ms 

8 195.129.94.193 [open] 12.907 ms 12.124 ms 14.428 ms 


v 


Packet Responses 


State / Protocol 

TCP 

UDP 

ICMP 

OPEN 

Host/Port SYN / 
ACK; 

Host Service 
Response 

Host Service 
Response; 

Host ICMP 
packet response; 
Host Service 
Response 

CLOSED 

Host RST; 

Host ICMP 
T03C03; 

Host ICMP 
T03C03; 

FILTERED 

Any ICMP 
T03C09,10,13; 
Any RST 

Any ICMP 
T03C09,10,13; 
Any ICMP 
T03C00,01,02 

Any ICMP 
T03C00,01,02; 

WILD 

Any ICMP 
T11C0, T09C0, 
T03C04, 
T03C05; 

Host Netbios 
Hostname Reg. 

Any ICMP 
T11C0, T09C0, 
T03C04, 
T03C05; 

Any ICMP 
T04C0 

Any ICMP 
T11C0, T09C0, 
T03C02, 
T03C04, 
T03C05; 
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und Client (Browser) abgefangen und 
modifiziert werden konnen. paras bie- 
tet aber auch weiterfuhrende Funktio- 
nen wie einen Spider, der die Struktur 
des Webservers respektive der darauf 
befindlichen Webseite ermittelt. 

Web-Applikationen konnen auch 
mittels Fuzzers (= Brute Force Tools, 
welche das Zielsystem auf Datei- 
oder Netzwerkebene mit diversen 


Strings beliefern um via Trial-and- 
Error Schwachstellen aufzudecken) 
getestet werden. 

Datenbankgestiitzte Applikationen 
sollten auf die Anfalligkeit auf SQL In- 
jection (= Einspeisung von SQL-Kom- 
mandos via Datenerfassungsmasken) 
odergenerelle Injection u be rpruft wer- 
den. Cookies und das Session Hand- 
ling sollten ebenfalls gepruft werden. 


Router Testing (Modul 7) 

Der Border-Router beschrankt 
manchmal den Netzwerkverkehr 
zwischen Internet und dem inter- 
nen Unternehmensnetz. In diesem 
Modul wird uberpruft, ob die Ein- 
stellungen der ACLs (Access Con- 
trol Lists) derart konfiguriert sind, 
dass nur regularer Traffic zwischen 
den (beiden) involvierten Zonen zu- 
gelassen wird. Dazu gehoren auch 
DoS-Tests (siehe Modul 13). 

Mittels Tools wie yersinia Oder 
ettercap kann die Anfalligkeit des 
Untersuchungsobjekts auf Man- 
in-the-Middle-Attacken und Rou- 
ting-Angriffe uberpruft werden. Der 
Einsatz derartiger Tools ist nicht 
sinnvoll bei einem Untersuchungs- 
objekt, welches Remote getestet 
werden soil (Layer 2 des OSI-Re- 
ferenzmodells ist nur im gleichen 
Subnet ansprechbar). 

Bei einem Vor-Ort-Test im LAN 
konnen diese Tools jedoch wertvolle 
Arbeit leisten. Eine Toolalternative 
ist irpas. 

Trusted Systems 
Testing (Modul 8) 

Hierbei wird uberpruft, ob Systeme 
einander ohne vorgangige Authen- 
tisierung vertrauen. Dabei werden 
Systemnamen, IP- Oder MAC-Adres- 
sen beispielsweise mittels Source 
Routing gespooft. Wenn das Un- 
tersuchungsobjekt dann mit den 
gespooften Systemen bereitwillig 
interagiert, ist die Anfalligkeit nach- 
gewiesen. 

Fur derartige Tests konnen bei- 
spielsweise mit nmap ausgefuhrte 
IDLE-Scans Oder die IP Spoofing- 
Funktionen von unicornscan genutzt 
werden, indem interne IP-Adressen 
als Absender vorgetauscht werden, 
um zu prufen, ob sich die getesteten 
Systeme dadurch tauschen lassen. 

Firewall Testing (Modul 9) 

In diesem Abschnitt wird die Firewall 
uberpruft. Dies umfasst das Austes- 
ten der Erreichbarkeit der DMZ und 
das Testen der Regeln der Firewall. 

Beim Firewalking wird uber- 
pruft, ob die Regeln der Firewall 
es zulassen, dass mit dem dahinter 



Abbildung 6 Manuelle Recherche zu bekannten Schwachstellen und 
Verwundbarkeiten 



Abbildung 7. metasploit bietet auch ein Web-Interface 
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Listing 6, Port Scan & Service Identification (TCP & UDP) mit nmap 

# nmap -sSU -P0 -nA -w -p 21-23 , 25 , 53 , 80 ,110 , 137 ,161 , 443 www.oneconsult.com 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:41 MET 
Warning: Hostname www.oneconsult.com resolves to 2 IPs. Using 195.129.94.193. 
Initiating SYN Stealth Scan against 195.129.94.193 [10 ports] at 17:41 
Discovered open port 80/tcp on 195.129.94.193 
The SYN Stealth Scan took 1.82s to scan 10 total ports. 

Initiating UDP Scan against 195.129.94.193 [10 ports] at 17:41 
The UDP Scan took 2.05s to scan 10 total ports. 

Initiating service scan against 11 services on 195.129.94.193 at 17:41 
Service scan Timing: About 36.36% done; ETC: 17:43 (0:01:28 remaining) 

The service scan took 55.77s to scan 11 services on 1 host. 

Warning: OS detection will be MUCH less reliable because we did not find at 

least 1 open and 1 closed TCP port 

For OSScan assuming port 80 is open, 30346 is closed, and neither are firewalled 

For OSScan assuming port 80 is open, 33677 is closed, and neither are firewalled 

For OSScan assuming port 80 is open, 42372 is closed, and neither are firewalled 

Host 195.129.94.193 appears to be up ... good. 

Interesting ports on 195.129.94.193: 

PORT STATE SERVICE VERSION 
21/tcp filtered ftp 

22/tcp filtered ssh 

23/tcp filtered telnet 

25/tcp filtered smtp 

53/tcp filtered domain 

80/tcp open http Apache httpd 1.3.33 ((Unix) PHP/4.3.10 
110/tcp filtered pop3 
137/tcp filtered netbios-ns 
161/tcp filtered snmp 

443/tcp filtered https 

21/udp open | filtered ftp 

[...] 

443/udp open | filtered https 

Device type: general purpose | broadband router | router 

Running (JUST GUESSING) : Linux 2.4.X|2.6.X|2.5.X (97%), D-Link embedded 

(93%), Siemens embedded (90%), Cisco IOS 12. X (90%), 
Conexant embedded (90%), FreeSCO Linux 2.0.X (90%), 
Apple Mac OS 9.X (88%), HP HP-UX 11. X (88%) 

Aggressive OS guesses: Linux 2.4.16 - 2.4.18 (97%), Linux 2.4.18 - 2.4.21 

(x86) (97%), Linux 2.6.0-test5 x86 (94%), Linux kernel 
2.6.5 - 2.6.8 (94%), Linux 2.4.0 - 2.5.20 (93%), 

Linux 2.4.18 - 2.4.20 (93%), Linux 2.4.26 (93%), Linux 
2.4.27 or D-Link DSL-500T (running linux 2.4) (93%), 
Siemens Speedstream 2602 DSL/Cable router (90%), Cisco 
2620 router running IOS 12.2(15) (90%) 

No exact OS matches for host (test conditions non-ideal) . 

TCP/IP fingerprint: 

SInfo (V=4 . ll%P=i686-pc-linux-gnu%D=12/14%Tm=45817EFC%O=80%C=-l) 

TSeq (Class=RI%gcd=l%SI=255D63%IPID=Z%TS=100HZ) 

TSeq (Class=RI%gcd=l%SI=2559D0%IPID=Z%TS=100HZ) 

TSeq (Class=RI%gcd=l%SI=65C83B%IPID=Z) 

T1 (Resp=Y%DF=Y%W=16AO%ACK=S++%Flags=AS%Ops=MNNTNW) 

T2 (Resp=Y%DF=Y%W=0%ACK=S%Flags=AR%Ops=) 

T3 (Resp=Y%DF=Y%W=16AO%ACK=S++%Flags=AS%Ops=MNNTNW) 

T4 (Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) 

T5 (Resp=N) 

T6 (Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) 

T7 (Resp=Y%DF=Y%W=0%ACK=S%Flags=AR%Ops=) 

PU (Resp=N) 

TCP Sequence Prediction: Class=random positive increments 
Difficulty=6670395 (Good luck!) 

IPID Sequence Generation: All zeros 


Nmap finished: 1 IP address (1 host up) scanned in 76.335 seconds 


liegenden Zielsystem kommuni- 
ziert respektive dessen Existenz 
festgestellt werden kann ohne das 
mit dem Zielsystem in der DMZ in- 
teragiert werden muss. Zu diesem 
Zweck wird die Time-to-live (TTL) 
so gesetzt, dass auf der Firewall 
die TTL noch 1 betragt und das 
Paket somit auf dem nachsten Hop 
(oft das eigentliche Zielsystem in 
der DMZ) verfallt. Im folgenden 
Beispiel ist ersichtlich, dass auf 
dem Zielhost der offene Port 80 
erkannt wurde. 

Weitere Tools fur Firewall-Tests: 

• hping\ 

• ftester. 

ftester ermoglicht mittels einem in 
PERL implementierten Client-Ser- 
ver-Prinzip, die einzelnen Regeln 
der Firewall auszuloten. Das Tool 
schickt Traffic durch die Firewall und 
schliesst aufgrund der durchgekom- 
menen Pakete auf die implementier- 
ten Regeln der Firewall. 

Eine eventuelle Anfalligkeit der 
Firewall auf Loose Source Routing 
kann beispielsweise mittels des 
Tools Isrscan uberpruft werden. 

Intrusion 
Detection System 
Testing (Modul 10) 

In diesem Modul werden mogliche 
IDS (Intrusion Detection Systeme) 
und/oder IPS (Intrusion Prevention 
Systeme) gesucht und untersucht. 

Das Tool http-ips-detect sucht 
nach einem IDS/IPS, indem es 
spezialisierte Strings versendet 
und so versucht, das IDS/IPS zu 
einer Reaktion zu bewegen. mu- 
tate2 kann verwendet werden, urn 
mittels Encoding-Tricks und ande- 
rer Methoden Content am IDS/IPS 
vorbeizuschleusen. fragrouter ver- 
sucht dies mittels konfigurierbarer 
Fragmentierung. Mit den Tools stick 
und snot konnen Rulesets von snort 
verwendet werden, urn die Funkti- 
onstuchtigkeit des IDS/IPS zu verifi- 
zieren. Dazu werden die gespooften 
versendeten snort-Rules mit den 
aufgetretenen Alarmen in den IDS- 
Protokollen verglichen. 
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Containment Measures 
Testing (Modul 11) 

Dieses Unterkapitel beschaftigt 
sich mit den Eindammungsmass- 


nahmen des Systemkomplexes 
Firewall, Mailsystem und Viren- 
schutz. Dabei wird Anfalligkeit auf 
potentiell gefahrliche Dateiendun- 


Listing 7. Port Scan (TCP & UDP) mit unicornscan 

# unicornscan -i ethO www.oneconsult.com:q -pr 100 -p 
Added 195.129.94.193 port 80 ttl 57 

Open http [ 80] From 195.129.94.193 ttl 57 

# unicornscan -mU -i ethO www. oneconsult . com: q -pr 100 -p 

Listing 8. Service Identification (TCP & UDP) mit amap 

# amap -H -v www.oneconsult.com 80 

Using trigger file /usr/share/amap/appdefs . trig ... loaded 30 triggers 
Using response file /usr/share/amap/appdef s . resp ... loaded 346 responses 
Using trigger file /usr/share/amap/appdefs . rpc ... loaded 450 triggers 
amap v5.2 (www.thc.org/thc-amap) started at 2006-12-14 14:49:00 - MAPPING 
mode 

Total amount of tasks to perform in plain connect mode: 10 
Waiting for timeout on 10 connections . . . 

Protocol on 195 . 129 . 94 . 193 : 80/tcp (by trigger http) matches http 

Protocol on 195 . 129 . 94 . 193 : 80/tcp (by trigger http) matches http-apache-1 

Protocol on 195 . 129 . 94 . 193 : 80/tcp (by trigger http) matches http-apache-2 

Protocol on 195 . 129 . 94 . 193 : 80/tcp (by trigger webmin) matches webmin 

Unidentified ports: none, 
amap v5.2 finished at 2006-12-14 14:49:06 

Listing 9, Protocol Scan mit nmap 

# nmap -sO -P0 www.oneconsult.com 

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-12-14 14:05 CET 
Warning: Hostname www.oneconsult.com resolves to 2 IPs. Using 195.129.94.193. 
Interesting protocols on 195.129.94.193: 

Not shown: 255 open | filtered protocols 
PROTOCOL STATE SERVICE 
17 filtered udp 

Nmap finished: 1 IP address (1 host up) scanned in 52.869 seconds 

Listing 10 OS Detection mit xprobe2 

# xprobe2 -p tcp: 80 :open www.oneconsult.com 

Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodor@oOo.nu, ofir@sys-security.com, 
meder@oOo . nu 

[+] Target is www.oneconsult.com 
[+] Loading modules. 

[+] Following modules are loaded: 

[x] [1] ping: icmp_ping - ICMP echo discovery module 

[x] [2] ping: tcp_ping - TCP-based ping discovery module 

[x] [3] ping:udp_ping - UDP-based ping discovery module 

[x] [4] infogather : ttl_calc - TCP and UDP based TTL distance calculation 

[...] 

[-] fingerprint : snmp : need UDP port 161 open 
[+] Primary guess: 

[+] Host 195.129.94.129 Running OS: "Linux Kernel 2.6.3" (Guess probability: 
96%) 

[+] Other guesses: 

[+] Host 195.129.94.129 Running OS: "Linux Kernel 2.4.20" (Guess 
probability: 96%) 

[...] 

[+] Host 195.129.94.129 Running OS: "Linux Kernel 2.6.3" (Guess probability: 
96%) 

[+] Cleaning up scan engine 
[+] Modules deinitialized 
[+] Execution completed. 


gen (SAP 27), verschiedene Ar- 
chivtypen inklusive Archivbomben 
und digitales Ungeziefer wie Viren, 
Wiirmer und Trojaner uberpriift. 
Selbstverstandlich wird dabei das 
Untersuchungsobjekt nicht infiziert, 
es reicht vollends, wenn anhand 
der Logfiles (Firewall, Antiviren- 
System und Mailserver) und der 
Attachment-Namen beim Mailemp- 
fanger erkannt wird, welche (bos- 
artigen) Attachments ungehindert 
den Empfanger erreicht haben. Zu 
diesem Zweck ist es sinnvoll, fur 
die Dauer der Tests zwei dedizier- 
te interne Mailaccounts nutzen zu 
konnen, urn sicherzustellen, dass 
niemand die Testmails unbeabsich- 
tigt offnet und damit eine Kontami- 
nation mit Malware riskiert. 

Password Cracking 
(Modul 12) 

Mittels Passwort Cracking wird 
die Starke von Passwortern ganz 
pragmatisch ermittelt. Dies kann ent- 
weder via Worterlisten (Dictionary, 
Durchprobieren von thematischen 
Wortlisten als Passwort), syste- 
matischem Probeln (Bruteforce: 
samtliche moglichen Kombinationen 
von Zeichen durchprobieren) Oder 
sogenannten Regenbogentabetten 
(Rainbow Tables, Nachschauen von 
Passwortern und Teilen davon in 
Hashtabellen) geschehen. Derartige 
Mechanismen dienen in diesem Kon- 
text dem Nachweis der Tauglichkeit 
der technischen Massnahmen zur 
Erzwingung von bestimmten An- 
forderungen an die Wahl Oder Ge- 
nerierung von Passwortern mittels 
Systemvorgaben. 

Die Tools ophcrack (Windows 
Passworter) und john (Unix- und 
Windows-Passworter) sind gut fur 
derartige Aufgaben geeignet. 

Denial of Service 
Testing (Modul 13) 

DoS-Test sind besonders heikel, weil 
sie im Sinne eines Proof-of-Concept 
bei Erfolg die Verfugbarkeit des Ziel- 
systems massgeblich einschranken, 
beziehungsweise ganzlich unterbin- 
den. Aus diesem Grund fordert das 
OSSTMM, dass DoS-Tests generell 
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List System Uptime Check mit hping2 

# hping -S -p 80 — tcp-timestamp www.oneconsult.com 

HPING www.oneconsult.com (ethO 195.129.94.193): S set, 40 headers + 0 data 
bytes 

len=56 ip=195 . 129 . 94 . 193 ttl=58 DF id=0 sport=80 flags=SA seq=0 win=5792 
rtt=11.9 ms 

TCP timestamp: tcpts=14373635 

len=56 ip=195 . 129 . 94 . 193 ttl=58 DF id=0 sport=80 flags=SA seq=l win=5792 
rtt=15.9 ms 

TCP timestamp: tcpts=14373741 
HZ seems hz=100 

System uptime seems: 1 days, 15 hours, 55 minutes, 37 seconds 

www.oneconsult.com hping statistic 

3 packets tramitted, 2 packets received, 34% packet loss 
round-trip min/avg/max - 11.9/13.9/15.9 ms 

Listing 12. Sicherheitsluckenidentifikation mit nikto 

# nikto -verbose -generic -host www.oneconsult.com 


- Nikto 1.35/1.36 - www.cirt.net 

V: - Calling nmap : /usr/bin/nmap -PO -oG - -p 80 195.129.94.193 

V: - Testing open ports for web servers 

V: - Checking for HTTP on port 195.129.94.193:80 

+ Target IP: 195.129.94.193 

+ Target Hostname: www.oneconsult.com 

+ Target Port: 80 

+ Start Time: Mon Dec 4 14:56:02 2006 


+ Server: Apache/1.3.33 (Unix) PHP/4.3.10 FrontPage/5.0.2.2510 

V: - Checking for CGI in: /cgi.cgi/ /cgi-bin/ 

V: - Server category identified as 'apache', if this is not correct please use 
-g to force a generic scan. 

V: - 4093 server checks loaded 

+ /robots. txt - contains 3 'disallow' entries which should be manually viewed 
(added to mutation file lists) (GET) . 

+ Allowed HTTP Methods: GET, HEAD, OPTIONS, TRACE 

+ HTTP method 'TRACE' is typically only used for debugging. It should be 
disabled. OSVDB-877. 

v ) 


File Edit View Analyse Report Tools Help 

Sites 

Request Response Trap 

9 dSnes 

9 d http //www oneconsult com 
0 GET awmdata 
0 GET awmmenupath gif 
0 GET img 
0 GET menu js 
0 GET oneconsult css 
€>■ d awmdaia 
d dienstieistungen 
€► C3 downloads 
^ d grundlagen 
©■dimg 
€>■ d kontakt 
©■ d links 
©■dnews 
©■ d presse 
d ueber-oneconsult 

GET http: //www oneconsult com HTTP/1 1 
Host www oneconsult com 

User-Agent Moziila/S 0 (XI 1, U. Linux 1686, de; rv 1 8 0 8) Gecko/20061110 Firefox 
/I S O 8 Paros/3 2 13 

Accept text/xml, appiication/xml.appiicaiion/xhtml+xml.text/html.q-O 9,text/plain,q- 
0 8.image/png.V,q-0 5 

Accept -Language de-de,de,q-0 8,en-us,q-0 5.en,q-0.3 
Accept-Charset 60-88Sd-l.utf-8.q-0 7,\q-0 7 
<eep-Aiiv* 300 
Proxy-Connection keep-alrve 
Content-length 0 


Raw View ▼ 

URI found during crawt 

History Spider Alerts Output 



Abbildung 8. Paros proxy 


nur vor-Ort, also direkt vor dem Un- 
tersuchungsobjekt ausgefuhrt werden. 
Andernfalls konnten die Knoten zwi- 
schen dem System des Testers und 
derzu testenden System unfreiwillig in 
Mitleidenschaft gezogen werden. 

Fur DoS-Tests eignen sich bei- 
spielsweise die Tools datapool und 
spikesh4. 

Security Policy Review 
(Modul 14) 

Dieses Modul befasst sich mit der 
Aufdeckung von Schwachstellen, 
Widerspruchen und Abweichungen 
zwischen definierter (^ geschriebener) 
und umgesetzter Sicherheitspolicy. 
Dafur konnen sowohl technische Tools 
als auch konzeptionelle Methoden ein- 
gesetzt werden. 

Hier endet Section C. Im folgen- 
den Kapitel wird der Begriff und die 
Berechnung des Risk Assessment 
Value (RAV) erlautert. 

RAV (Risk Assessment 
Value) -Berechnung 

Bei anderen Methoden basiert das 
Risikomanagement auf dem Schatzen 
von Eintretenswahrscheinlichkeit und 
Schadenausmass - nicht so beim 
OSSTMM. 

Der Risk Assessment Value 
(RAV) beschreibt das angetroffene 
Sicherheitsniveau in Form eines 
Zahlenwertes. Die Auswertung der 
Ergebnisse erfolgt mittels der zu- 
sammengetragenen Informationen 
und verifizierten Resultate, die in das 
von ISECOM kostenlos erhaltliche 
RAV-Calculation-Sheet eingefullt 
werden. An dieser Stelle wird das 
RAV-Modell 3.0 beschrieben: 

Die Visibility bezeichnet die An- 
zahl IP-Adressen, welche wahrend 
der Tests sichtbar waren. Unter Ac- 
cess wird das Total allerZugriffpunkte 
eingetragen und bei Trusts die ersicht- 
lichen Vertrauensstellungen zwischen 
den Systemen ( Web -> DNS zum 
Beispiel). Die Schwachstellen wer- 
den als Risikotypen zusammenge- 
zahlt: Vulnerability (Verwundbarkeit), 
Weakness (Schwache), Concern 
(Bedenken), Information Leak (Infor- 
mationsabfluss) und Anomaly (Ano- 
malie). Dabei mussen mindestens 
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Listing 13. Firewalking mit firewalk 

# firewalk -n -pTCP -s 80 -S 80 -t 1 -d 80 -T 100 212.71.100.18 195.129.94.193 
Firewalk 5.0 [gateway ACL scanner] 

Firewalk state initialization completed successfully. 

TCP-based scan. 

Ramping phase source port: 80, destination port: 80 

Hotfoot through 212.71.100.18 using 195.129.94.193 as a metric. 

Ramping Phase: 


1 

(TTL 

i) 

expired 

[192.168.60.1] 

2 

(TTL 

2) 

expired 

[212.90.192.151] 

3 

(TTL 

3) 

expired 

[212.90.192.151] 

4 

(TTL 

4) 

expired 

[213.200.201.232 

5 

(TTL 

5) 

expired 

[213.200.205.37] 

6 

(TTL 

6) 

expired 

[194.242.34.29] 

7 

(TTL 

7) 

expired 

[212.71.100.18] 


Binding host reached. 

Scan bound at 8 hops . 

Scanning Phase: 

port 80: A! open (port listen) [195.129.94.193] 

Scan completed successfully. 

Total packets sent: 8 

Total packet errors : 0 

Total packets caught 8 

Total packets caught of interest 8 

Total ports scanned 1 

Total ports open: 1 

Total ports unknown: 0 

v ) 


66% der identifizierten Schwachstel- 
len verifiziert werden, um das Risiko 
der Bewertung von False Positives 
zu reduzieren. Anschliessend werden 


ISECOM bietet die Moglichkeit, 
Audits nach OSSTMM hinsichtlich 
ihrer OSSTMM-Konformitat zu pru- 
fen und bei Erfolg zu zertifizieren. 


Personenbezogene 

Zertifizierungsmoglichkeiten 

ISECOM bietet verschiedene OSSTMM 
-spezifische Kurse mit anschliessen- 
der Zertifizierungsmoglichkeit an: 

• OPSE (OSSTMM Professional Se- 
curity Expert): belegt, dass der/die 
Zertifizierte genaue theoretische 
Kenntnisse des OSSTMMs und 
beziiglich Projektplanung hat; 

• OPST (OSSTMM Professional 
Security Tester): belegt, dass 
der/die Zertifizierte iiber die no- 
tigen Fahigkeiten verfugt, um als 
professioneller Security Tester 
nach OSSTMM zu arbeiten; 

• OWSE (OSSTMM Wireless Secu- 
rity Expert): belegt, dass der/die 
Zertifizierte uber die notigen Fahig- 
keiten verfugt, um kabellose Netz- 
werke nach OSSTMM zu testen; 

• OPSA (OSSTMM Professional 
Security Analyst) : belegt, dass der/ 
die Zertifizierte uber die notigen 
Fahigkeiten verfugt, Testresultate 
richtig zu interpretieren, den RAV 
zu berechnen und Testerteams zu 
koordinieren. 


die zehn Loss Controls bewertet-wie 
viele Dienste des Untersuchungsob- 
jektes verfugen uber Mechanismen 
wie: Authentifizierung, Vertraulich- 
keit, Datenschutz, Alarmierung, etc.. 
Nach diesem Verfahren wird der 
RAV berechnet und kann danach als 
Massstab fur das gemessene Sicher- 
heitsniveau verwendet werden. 

Weil der RAV keine Riickschliisse 
auf das konkrete Untersuchungsobjekt 
zulasst, konnen die erzielten Werte 
mit anderen Projekten (eigene oder 
Projekte anderer Unternehmen) vergli- 
chen werden - ein echter Mehrwert! 

Das Management kann den RAV 
als Kontrollinstrument nutzen und 
das Trending der gemessenen Si- 
cherheit uber die Zeit aufzeigen. 

Zertifizierungsmogli 
chkeiten der ISECOM 
hinsichtlich OSSTMM 

ISECOM bietet verschiedene Pro- 
jekt-, Personen- und Anbieter-be- 
zogene Zertifizierungsmoglichkeiten 
nach OSSTMM an: Projekbezogene 
Zertifizierungsmoglichkeit. 



Abbildung 9 RAV-Calculation Sheet 
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Listin' IDS/IPS-Tests mit stick 

# ./stick -h 

Usage: stick [sH ip_source] [sC ip_class_C_spoof ] [sR start_spoof_ip end_ 
spoof_ip] 

[dH ip_target] [dC ip_class_C_target] [dR starttargetip end_target_ip] 


defaults destination to 10.0.0.1 and source default is 0.0.0.0-255.255.255.255 
Software Design for limitted Stress Test capablity. 
stick # ./stick 

Stress Test - Source target is set to all 2 A 32 possiblities 
Destination target value of: 100000a 
sending rule 391 
sending rule 185 
sending rule 947 
sending rule 707 
sending rule 841 

Listin Password-Cracking mit john 

# john 

John the Ripper password cracker, version 1.7.2 
Copyright (c) 1996-2006 by Solar Designer and others 
Homepage: http : //www. openwall . com/ john/ 

Usage: john [OPTIONS] [PASSWORD-FILES] 

— single "single crack" mode 

--wordlist=FILE --stdin wordlist mode, read words from FILE or stdin 
— rules enable word mangling rules for wordlist mode 
— incremental [=MODE] "incremental" mode [using section MODE] 

--external=MODE external mode or word filter 

— stdout [^LENGTH] just output candidate passwords [cut at LENGTH] 

--restore [=NAME] restore an interrupted session [called NAME] 

— session=NAME give a new session the NAME 

--status [=NAME] print status of a session [called NAME] 

--make-charset=FILE make a charset, FILE will be overwritten 
— show show cracked passwords 
--test perform a benchmark 

— users=[-]LOGIN|UID[, . .] [do not] load this (these) user(s) only 
— groups=[-]GID[, . . ] load users [not] of this (these) group(s) only 
— shells= [-] SHELL [,.. ] load users with[out] this (these) shell (s) only 
— salts=[-] COUNT load salts with [out] at least COUNT passwords only 
— format=NAME force ciphertext format NAME: DES/BSDI/MD5/BF/AFS/LM/NT/PO/ 
raw-MD5 /IPB2/raw-shal/md5a/KRB5/bf egg/ns ldap/MYSQL/ 
mscash/lotus5/DOMINOSEC 

— save-memory=LEVEL enable memory saving, at LEVEL 1..3 
scripts # john /etc/ shadow 

Loaded 2 password hashes with 2 different salts (FreeBSD MD5 [32/32] ) 
guesses: 0 time: 0:00:00:08 13% (2) c/s: 4977 trying: alorap 
Session aborted 

v ) 


Anbieterbezogene 

Zertifizierungsmoglichkeit 

Anbieter (Unternehmen und Organi- 
sationen) konnen sich von ISECOM 
als ISECOM Licensed Auditor (ILA) 
auf verschiedenen Leveln zertifizie- 
ren lassen. Diese Zertifizierung ist 
als Qualitatssiegel fur Interessenten 
und Kunden gedacht. Sie beinhaltet 
unter anderem regelmassige Audits 
durch ISECOM hinsichtlich der kor- 
rekten Anwendung des OSSTMM, 
eine bestimmte Anzahl Mitarbeiter 
mit aktuellen OPST-, OPSA-, OP- 
SE- und weiteren ISECOM-Zertifi- 
zierungen, wobei die Mitarbeiter die 
Zertifizierungsprufung mindestens 
mit dem Pradikat Gut abgeschlossen 
haben mussen. 

Schlusswort 

Das OSSTMM bietet eine Hilfe- 
stellung fur die Durchfuhrung und 
Dokumentation von grundlichen Si- 
cherheitsuberprufungen. Selbstver- 
standlich kann man Security Audits 
auch nach einer selbst entwickelten 
Methode Oder ganzlich ohne Metho- 
de durchfuhren. Selbstentwickelte 
Methoden bergen aber die Gefahr, 
dass Aspekte vergessen werden, 
ohne dass dies explizit im Bericht er- 
sichtlich ist. Zusatzlich dazu stellt die 
Anwendung des OSSTMM sicher, 
dass die von verschiedenen Audito- 
ren durchgefuhrten Tests und deren 
Resultate vergleichbar sind. Das 
OSSTMM wird weltweit in tausenden 
Projekten eingesetzt, kontinuierlich 
weiterentwickelt und bei Technolo- 
gieanderungen angepasst/aktuali- 
siert. Die Anwendung des OSSTMM 
bietet die einmalige Gelegenheit der 
Verknupfung von strategischen Me- 
thoden wie SOx-404 und ISO/IEC 
27001/17799 mit der operativen Si- 
cherheit - die technische Messung 
von Sicherheit ist praziser als das 
Schatzen von Eintrittswahrschein- 
lichkeit x Schadenausmass in der 
klassischen Risikoanalyse. Die ver- 
schiedenen von ISECOM angebo- 
tenen Zertifizierungsmoglichkeiten 
nach OSSTMM ermoglichen Privat- 
personen und Unternehmen sich ih- 
re OSSTMM-bezogene Kompetenz 
attestieren zu lassen. • 
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